Постквантовая криптография
Постквантовая криптография ( PQC ), иногда называемая квантово-устойчивой , квантово-безопасной или квантово-устойчивой , представляет собой разработку криптографических алгоритмов (обычно алгоритмов с открытым ключом ), которые считаются защищенными от криптоаналитической атаки со стороны квантовый компьютер . Проблема с популярными алгоритмами, используемыми в настоящее время на рынке, заключается в том, что их безопасность зависит от одной из трех сложных математических задач: задачи целочисленной факторизации , задачи дискретного логарифма или задачи дискретного логарифма на основе эллиптической кривой . Все эти проблемы можно было бы легко решить на достаточно мощном квантовом компьютере, работающем по алгоритму Шора. [1] [2] или даже более быстрые и менее требовательные (с точки зрения количества требуемых кубитов) альтернативы. [3]
Хотя по состоянию на 2023 год квантовым компьютерам не хватает вычислительной мощности для взлома широко используемых криптографических алгоритмов. [4] криптографы разрабатывают новые алгоритмы для подготовки к Y2Q или Q-Day , дню, когда текущие алгоритмы будут уязвимы для атак квантовых вычислений. Их работа привлекла внимание ученых и промышленности благодаря серии конференций PQCrypto , проводимых с 2006 года, нескольким семинарам по квантовой безопасной криптографии, организованным Европейским институтом телекоммуникационных стандартов (ETSI) и Институтом квантовых вычислений . [5] [6] [7] Слухи о широко распространенном распространении программ «собирай сейчас, дешифруй позже» также рассматривались как мотивация для раннего внедрения постквантовых алгоритмов, поскольку данные, записанные сейчас, могут оставаться конфиденциальными и через много лет в будущем. [8] [9] [10]
В отличие от угрозы, которую квантовые вычисления представляют для современных алгоритмов с открытым ключом, большинство современных симметричных криптографических алгоритмов и хэш-функций считаются относительно безопасными против атак со стороны квантовых компьютеров. [2] [11] Хотя квантовый алгоритм Гровера действительно ускоряет атаки на симметричные шифры, удвоение размера ключа может эффективно блокировать эти атаки. [12] Таким образом, постквантовая симметричная криптография не должна существенно отличаться от современной симметричной криптографии.
Алгоритмы [ править ]
Исследования постквантовой криптографии в основном сосредоточены на шести различных подходах: [2] [6]
Решётчатая криптография [ править ]
К этому подходу относятся такие криптографические системы, как обучение с ошибками , кольцевое обучение с ошибками ( ring-LWE ), [13] [14] [15] кольцевое обучение с обменом ключами с ошибками и кольцевое обучение с сигнатурой ошибок , старые схемы шифрования NTRU или GGH , а также новые подписи NTRU и подписи BLISS . [16] Некоторые из этих схем, такие как шифрование NTRU, изучались в течение многих лет, но никто не нашел реальной атаки. Другие алгоритмы, такие как кольцевые алгоритмы LWE, имеют доказательства того, что их безопасность сводится к проблеме наихудшего случая. [17] Исследовательская группа по пост-квантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант NTRU Стеле-Штайнфельда для стандартизации, а не алгоритм NTRU. [18] [19] В то время NTRU еще был запатентован. Исследования показали, что NTRU может обладать более безопасными свойствами, чем другие алгоритмы на основе решетки. [20]
Многомерная криптография [ править ]
Сюда входят криптографические системы, такие как схема «Радуга» ( несбалансированное масло и уксус ), которая основана на сложности решения систем многомерных уравнений. Различные попытки построить безопасные схемы шифрования многомерных уравнений потерпели неудачу. Однако схемы многомерной подписи, такие как Rainbow, могут стать основой для квантовобезопасной цифровой подписи. [21] Схема подписи Rainbow запатентована.
Криптография на основе хеша [ править ]
Сюда входят криптографические системы, такие как подписи Лампорта , схема подписи Меркла , XMSS, [22] СФИНКИ, [23] и схемы WOTS. Цифровые подписи на основе хэша были изобретены в конце 1970-х годов Ральфом Мерклем и с тех пор изучаются как интересная альтернатива теоретико-числовым цифровым подписям, таким как RSA и DSA. Их основной недостаток заключается в том, что для любого открытого ключа на основе хэша существует ограничение на количество подписей, которые можно подписать с использованием соответствующего набора закрытых ключей. Этот факт снизил интерес к этим подписям, пока интерес не возобновился из-за стремления к криптографии, устойчивой к атакам квантовых компьютеров. На схему подписи Меркла, похоже, нет патентов. [ нужна ссылка ] и существует множество незапатентованных хеш-функций, которые можно использовать с этими схемами. Схема подписи XMSS на основе хэша с сохранением состояния, разработанная группой исследователей под руководством Йоханнеса Бухмана , описана в RFC 8391. [24]
Обратите внимание, что все вышеперечисленные схемы являются одноразовыми или ограниченными по времени подписями. Мони Наор и Моти Юнг изобрели хеширование UOWHF в 1989 году и разработали подпись на основе хеширования (схема Наора-Юнга). [25] которая может использоваться неограниченное время (первая такая подпись, не требующая свойств лазейки).
Криптография на основе кода [ править ]
Сюда входят криптографические системы, которые полагаются на коды, исправляющие ошибки , такие как алгоритмы шифрования МакЭлиса и Нидеррайтера и связанная с ними схема подписи Куртуа, Финиаса и Сендрие . Оригинальная подпись МакЭлиса с использованием случайных кодов Гоппы выдерживала проверку более 40 лет. Однако многие варианты схемы МакЭлиса, направленные на придание большей структуры используемому коду для уменьшения размера ключей, оказались небезопасными. [26] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала систему шифрования с открытым ключом McEliece в качестве кандидата для долгосрочной защиты от атак квантовых компьютеров. [18]
Криптография изогении на основе
Эти криптографические системы полагаются на свойства изогении графов эллиптических кривых более высокой размерности (и абелевых многообразий ) над конечными полями, в частности, суперсингулярных графов изогении , для создания криптографических систем. Среди наиболее известных представителей этой области — метод Диффи-Хеллману обмена ключами, подобный , CSIDH , который может служить простой квантовостойкой заменой Диффи-Хеллмана и эллиптической кривой Диффи-Хеллмана широко распространенных методов обмена ключами . использовать сегодня, [27] и схема сигнатур SQISign , основанная на категориальной эквивалентности суперсингулярных эллиптических кривых и максимальных порядков в определенных типах кватернионных алгебр. [28] Другая широко известная конструкция, SIDH/SIKE , была сломана в 2022 году. [29] Однако атака специфична для семейства схем SIDH/SIKE и не распространяется на другие конструкции, основанные на изогении. [30]
ключевое Симметричное сопротивление квантовое
При условии использования достаточно больших размеров ключей криптографические системы с симметричным ключом, такие как AES и SNOW 3G, уже устойчивы к атакам квантового компьютера. [31] Кроме того, системы и протоколы управления ключами, использующие криптографию с симметричным ключом вместо криптографии с открытым ключом, такие как Kerberos и структура аутентификации мобильной сети 3GPP, также по своей сути защищены от атак со стороны квантового компьютера. Учитывая его широкое распространение в мире, некоторые исследователи рекомендуют более широкое использование симметричного управления ключами, подобного Kerberos, как эффективный способ получить постквантовую криптографию сегодня. [32]
Снижение безопасности [ править ]
При исследовании криптографии желательно доказать эквивалентность криптографического алгоритма и известной сложной математической задачи. Эти доказательства часто называют «снижением безопасности» и используются для демонстрации сложности взлома алгоритма шифрования. Другими словами, безопасность данного криптографического алгоритма сводится к безопасности известной сложной проблемы. Исследователи активно ищут возможности снижения безопасности в перспективах постквантовой криптографии. Текущие результаты приведены здесь:
Криптография на основе решеток — подпись Ring - LWE
В некоторых версиях Ring-LWE существует сведение безопасности к задаче кратчайшего вектора (SVP) в решетке в качестве нижней границы безопасности. SVP, как известно, NP-труден . [33] Конкретные системы кольцевого LWE, которые имеют доказуемое снижение безопасности, включают вариант сигнатур кольцевого LWE Любашевского, определенный в статье Гюнейсу, Любашевского и Поппельмана. [14] Схема подписи GLYPH представляет собой вариант подписи Гюнейсу, Любашевского и Пёппельмана (GLP) , которая учитывает результаты исследований, полученные после публикации подписи GLP в 2012 году. Еще одна подпись Ring-LWE — Ring-TESLA. [34] Также существует «дерандомизированный вариант» LWE, называемый «Обучение с округлением» (LWR), который обеспечивает «улучшенное ускорение (за счет устранения небольших ошибок выборки из гауссовского распределения с детерминированными ошибками) и пропускную способность». [35] В то время как LWE использует добавление небольшой ошибки для сокрытия младших битов, LWR использует округление с той же целью.
Криптография на основе решеток — NTRU, BLISS [ править ]
Безопасность схемы шифрования NTRU и BLISS [16] Считается, что сигнатура связана с ближайшей векторной задачей (CVP) в решетке, но не может быть доказуемо сведена к ней. Известно, что CVP является NP-трудным . Группа по изучению пост-квантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант Стеле-Штайнфельда NTRU, который действительно имеет снижение безопасности, для долгосрочного использования вместо исходного алгоритма NTRU. [18]
масло и несбалансированное уксус Многомерная криптография –
масла и уксуса Несбалансированные схемы подписи представляют собой асимметричные криптографические примитивы, основанные на многомерных полиномах над конечным полем. . Булыгин, Петцольдт и Бухманн показали сведение общих многомерных квадратных UOV-систем к NP-Hard задаче решения многомерных квадратных уравнений . [36]
основе хеша — схема Меркла Криптография на подписи
снижается В 2005 году Луис Гарсия доказал, что безопасность подписей хэш-дерева Меркла до безопасности базовой хеш-функции. Гарсиа показал в своей статье, что если существуют односторонние хэш-функции с вычислительной точки зрения, то подпись хеш-дерева Меркла доказуемо безопасна. [37]
Следовательно, если бы кто-то использовал хеш-функцию с доказуемым снижением безопасности до известной сложной проблемы, он получил бы доказуемое снижение безопасности сигнатуры дерева Меркла до этой известной сложной проблемы. [38]
Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать схему подписи Меркла для долгосрочной защиты от квантовых компьютеров. [18]
Криптография на основе кода – МакЭлис [ править ]
Система шифрования McEliece снижает уровень безопасности до проблемы синдромного декодирования (SDP). Известно, что СДП является NP-жесткой . [39] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать эту криптографию для долгосрочной защиты от атак квантового компьютера. [18]
Криптография на основе кода — RLCE [ править ]
В 2016 году Ван предложил схему шифрования случайного линейного кода RLCE. [40] который основан на схемах МакЭлиса. Схема RLCE может быть построена с использованием любого линейного кода, такого как код Рида-Соломона, путем вставки случайных столбцов в базовую матрицу генератора линейного кода.
эллиптической кривой суперсингулярной Криптография изогении
Безопасность связана с задачей построения изогении между двумя суперсингулярными кривыми с одинаковым числом точек. Самое последнее исследование сложности этой проблемы, проведенное Делфсом и Гэлбрейтом, показывает, что эта проблема настолько сложна, насколько предполагают изобретатели обмена ключами. [41] Никакого снижения безопасности до известной NP-сложной проблемы не существует.
Сравнение [ править ]
Одной из общих характеристик многих алгоритмов постквантовой криптографии является то, что они требуют ключей большего размера, чем обычно используемые «доквантовые» алгоритмы с открытым ключом. Часто приходится идти на компромисс между размером ключа, вычислительной эффективностью и размером зашифрованного текста или подписи. В таблице приведены некоторые значения для различных схем на 128-битном постквантовом уровне безопасности.
Алгоритм | Тип | Открытый ключ | Закрытый ключ | Подпись |
---|---|---|---|---|
NTRU-шифрование [42] | Решетка | 766,25 Б | 842,875 Б | |
Оптимизированный NTRU Prime [ нужна ссылка ] | Решетка | 154 Б | ||
Радуга [43] | Многомерный | 124 КБ | 95 КБ | |
СФИНКИ [23] | Хэш-подпись | 1 КБ | 1 КБ | 41 КБ |
СФИНКИ+ [44] | Хэш-подпись | 32 Б | 64 Б | 8 КБ |
БЛИСС -II | Решетка | 7 КБ | 2 КБ | 5 КБ |
GLP-вариант подписи GLYPH [14] [45] | Кольцо-LWE | 2 КБ | 0,4 КБ | 1,8 КБ |
НьюХоуп [46] | Кольцо-LWE | 2 КБ | 2 КБ | |
МакЭлис из Гоппы [18] | На основе кода | 1 МБ | 11,5 КБ | |
Шифрование на основе случайного линейного кода [47] | РЛЦЭ | 115 КБ | 3 КБ | |
Квазициклический McEliece на основе MDPC [48] | На основе кода | 1232 Б | 2464 Б | |
ДА [49] | Изогения | 564 Б | 48 Б | |
SIDH (сжатые ключи) [50] | Изогения | 330 Б | 48 Б | |
3072-битный дискретный журнал | не ПКК | 384 Б | 32 Б | 96 Б |
256-битная эллиптическая кривая | не ПКК | 32 Б | 32 Б | 65 Б |
Практическим соображением при выборе постквантового криптографического алгоритма является усилие, необходимое для отправки открытых ключей через Интернет. С этой точки зрения алгоритмы Ring-LWE, NTRU и SIDH удобно обеспечивают размеры ключей менее 1 КБ, открытые ключи хеш-подписи — менее 5 КБ, а McEliece на основе MDPC занимает около 1 КБ. С другой стороны, схемы Rainbow требуют около 125 КБ, а McEliece на основе Goppa требует ключ размером почти 1 МБ.
Криптография на основе решеток — обмен ключами LWE и обмен ключами Ring - LWE
Фундаментальная идея использования LWE и Ring LWE для обмена ключами была предложена и подана в Университете Цинциннати в 2011 году Цзиньтаем Дином. Основная идея исходит из ассоциативности матричных умножений, а ошибки используются для обеспечения безопасности. Бумага [51] появился в 2012 году после подачи предварительной заявки на патент в 2012 году.
В 2014 году Пейкерт [52] представил ключевую транспортную схему, следующую той же базовой идее, что и Дин, где также используется новая идея отправки дополнительного 1-битного сигнала для округления в конструкции Дина. превышающей 128 Для защиты, бит , Сингх представляет набор параметров, которые имеют 6956-битные открытые ключи для схемы Пейкерта. [53] Соответствующий закрытый ключ будет иметь длину примерно 14 000 бит.
В 2015 году на выставке Eurocrypt 2015 был представлен аутентифицированный обмен ключами с доказуемой прямой безопасностью, основанный на той же базовой идее, что и Дин. [54] который является расширением HMQV [55] строительство в Crypto2005. В документе представлены параметры для различных уровней безопасности от 80 до 350 бит, а также соответствующие размеры ключей. [54]
основе решеток – шифрование Криптография на NTRU
Для 128-битной безопасности в NTRU Хиршхорн, Хоффштейн, Хогрейв-Грэм и Уайт рекомендуют использовать открытый ключ, представленный в виде полинома 613 степени с коэффициентами. В результате получается открытый ключ длиной 6130 бит. Соответствующий закрытый ключ будет иметь длину 6743 бита. [42]
Многомерная криптография Радужная подпись –
Для обеспечения 128-битной безопасности и наименьшего размера подписи в схеме подписи многомерных квадратных уравнений Rainbow Петцольдт, Булыгин и Бухман рекомендуют использовать уравнения в с размером открытого ключа чуть более 991 000 бит, секретным ключом чуть более 740 000 бит и цифровыми подписями длиной 424 бита. [43]
основе хеша — схема Меркла Криптография на подписи
Чтобы получить 128 бит безопасности для подписей на основе хэша для подписи 1 миллиона сообщений с использованием метода фрактального дерева Меркла Наора Шенхава и Вула, размеры открытого и закрытого ключей составляют примерно 36 000 бит в длину. [56]
Криптография на основе кода – МакЭлис [ править ]
Для 128-битной безопасности в схеме МакЭлиса группа исследования пост-квантовой криптографии Европейской комиссии рекомендует использовать двоичный код Гоппы длиной не менее и размер как минимум и способный исправить ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой принимает биты. Соответствующий закрытый ключ, который состоит из поддержки кода с элементы из и генераторный полином с коэффициенты из , будет иметь длину 92 027 бит. [18]
Группа также исследует использование квазициклических кодов MDPC длиной не менее и размер как минимум и способный исправить ошибки. При этих параметрах открытый ключ для системы МакЭлиса будет первой строкой систематической порождающей матрицы, неидентичная часть которой принимает биты. Закрытый ключ — квазициклическая матрица проверки четности с ненулевые записи в столбце (или в два раза больше в строке), занимает не более биты, если они представлены как координаты ненулевых записей в первой строке.
Баррето и др. рекомендуем использовать двоичный код Гоппы длиной не менее и размер как минимум и способный исправить ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой принимает биты. [57] Соответствующий закрытый ключ, который состоит из поддержки кода с элементы из и генераторный полином с коэффициенты из , будет иметь длину 40 476 бит.
эллиптической кривой суперсингулярной Криптография изогении
Для 128-битной безопасности в методе суперсингулярной изогении Диффи-Хеллмана (SIDH) Де Фео, Джао и Плут рекомендуют использовать суперсингулярную кривую по модулю 768-битного простого числа. Если используется сжатие точек эллиптической кривой, длина открытого ключа должна быть не более 8x768 или 6144 бит. [58] В статье авторов Азардерахша, Джао, Калача, Козиэля и Леонарди, опубликованной в марте 2016 года, было показано, как сократить количество передаваемых битов вдвое, что было дополнительно улучшено авторами Костелло, Джао, Лонгой, Наэригом, Ренесом и Урбаником, что привело к сжатию данных. ключевая версия протокола SIDH с открытыми ключами размером всего 2640 бит. [50] Это делает количество передаваемых битов примерно эквивалентным неквантовому безопасному RSA и алгоритму Диффи-Хеллмана при том же классическом уровне безопасности. [59]
Криптография на основе симметричного ключа [ править ]
Как правило, для 128-битной безопасности в системе на основе симметричных ключей можно безопасно использовать ключи длиной 256 бит. Лучшая квантовая атака против обычных систем с симметричным ключом — это применение алгоритма Гровера , который требует работы, пропорциональной квадратному корню из размера ключевого пространства. Для передачи зашифрованного ключа на устройство, обладающее симметричным ключом, необходимым для расшифровки этого ключа, также требуется примерно 256 бит. Понятно, что системы с симметричными ключами предлагают наименьшие размеры ключей для постквантовой криптографии. [ нужна ссылка ]
Прямая секретность [ править ]
Система с открытым ключом демонстрирует свойство, называемое совершенной прямой секретностью , когда она генерирует случайные открытые ключи за сеанс для целей соглашения о ключах. Это означает, что компрометация одного сообщения не может привести к компрометации других, а также что не существует ни одного секретного значения, которое могло бы привести к компрометации нескольких сообщений. Эксперты по безопасности рекомендуют использовать криптографические алгоритмы, поддерживающие прямую секретность, а не те, которые ее не поддерживают. [60] Причина этого в том, что прямая секретность может защитить от компрометации долгосрочных закрытых ключей, связанных с парами открытого/закрытого ключей. Это рассматривается как средство предотвращения массовой слежки со стороны спецслужб.
И обмен ключами Ring-LWE, и обмен ключами суперсингулярной изогении Диффи-Хеллмана (SIDH) могут поддерживать прямую секретность при одном обмене с другой стороной. И Ring-LWE, и SIDH также можно использовать без прямой секретности, создав вариант классического варианта шифрования Эль-Гамаля Диффи-Хеллмана.
Другие алгоритмы в этой статье, такие как NTRU, не поддерживают прямую секретность как таковую.
Любая аутентифицированная система шифрования с открытым ключом может использоваться для организации обмена ключами с прямой секретностью. [61]
Открыть проект Quantum Safe [ править ]
Проект Open Quantum Safe ( OQS ) был запущен в конце 2016 года и направлен на разработку и прототипирование квантово-устойчивой криптографии. [62] [63] Он направлен на интеграцию текущих постквантовых схем в одну библиотеку: liboqs . [64] liboqs — это библиотека C с открытым исходным кодом для квантово-устойчивых криптографических алгоритмов. Первоначально он фокусируется на алгоритмах обмена ключами, но на данный момент включает несколько схем подписи. Он предоставляет общий API, подходящий для алгоритмов постквантового обмена ключами, и объединяет различные реализации. liboqs также будет включать в себя средства тестирования и процедуры сравнительного анализа для сравнения производительности постквантовых реализаций. Кроме того, OQS также обеспечивает интеграцию liboqs в OpenSSL . [65]
По состоянию на март 2023 г. поддерживаются следующие алгоритмы обмена ключами: [62]
Алгоритм | Тип |
---|---|
КРИСТАЛЛЫ-Кибер | модуля с ошибкой Обучение |
Классический МакЭлис | коды гоппы |
ВЕЛОСИПЕД [66] | коды |
штаб-квартира [67] [68] | коды |
Фродо [69] [70] | Обучение с ошибками |
НТРУ [71] | Решеточная криптография |
КРИСТАЛЛЫ-Дилития [72] [73] | Модульное короткое целочисленное решение |
Сокол | Короткое целочисленное решение |
СФИНКИ+ | на основе хеша |
Старые поддерживаемые версии, которые были удалены в связи с развитием проекта стандартизации пост-квантовой криптографии NIST:
Алгоритм | Тип |
---|---|
БЦНС15 [74] | Кольцевое обучение с ошибками обмена ключами |
НьюХоуп [75] [46] | Кольцевое обучение с ошибками обмена ключами |
ДА [76] [77] | Обмен ключами суперсингулярной изогении |
Макбиты [78] | Коды, исправляющие ошибки |
Реализация [ править ]
Одной из основных задач постквантовой криптографии считается внедрение потенциально квантовобезопасных алгоритмов в существующие системы. Были проведены тесты, например, компанией Microsoft Research, реализующей PICNIC в PKI с использованием аппаратных модулей безопасности . [79] Тестовые реализации алгоритма Google NewHope также были выполнены поставщиками HSM . В августе 2023 года Google выпустила FIDO2 реализацию ключа безопасности гибридной схемы подписи ECC /Dilithium, которая была создана в сотрудничестве с ETH Zürich . [80]
21 февраля 2024 года Apple объявила, что собирается обновить свой протокол iMessage новым протоколом PQC под названием «PQ3», который будет использовать постоянный ключ. [81] [82] [83] Apple заявила, что, хотя квантовых компьютеров еще не существует, они хотели снизить риски, связанные с будущими квантовыми компьютерами, а также с так называемыми « Собери сейчас, расшифровай позже сценариями атак ». Apple заявила, что, по их мнению, их реализация PQ3 обеспечивает защиту, которая «превосходит защиту всех других широко распространенных приложений для обмена сообщениями, поскольку она использует постоянный ввод ключей. Apple намерена полностью заменить существующий протокол iMessage во всех поддерживаемых диалогах на PQ3 к концу 2024 года. Apple также определила шкалу, чтобы упростить сравнение свойств безопасности приложений для обмена сообщениями, при этом шкала представлена уровнями от 0 до 3. . [81]
Другие известные реализации включают в себя:
- надувной замок [84]
- либоки [85]
См. также [ править ]
- Стандартизация постквантовой криптографии NIST
- Квантовая криптография - криптография, основанная на квантовой механике.
- Крипто-шреддинг – удаление ключей шифрования.
- Соберите сейчас, расшифруйте позже
Ссылки [ править ]
- ^ Шор, Питер В. (1997). «Алгоритмы полиномиального времени для простой факторизации и дискретных логарифмов на квантовом компьютере». SIAM Journal по вычислительной технике . 26 (5): 1484–1509. arXiv : Quant-ph/9508027 . Бибкод : 1995quant.ph..8027S . дои : 10.1137/S0097539795293172 . S2CID 2337707 .
- ↑ Перейти обратно: Перейти обратно: а б с Бернштейн, Дэниел Дж. (2009). «Введение в постквантовую криптографию» (PDF) . Постквантовая криптография .
- ^ Крамер, Анна (2023). « Удивительно и очень круто». Квантовый алгоритм предлагает более быстрый способ взлома интернет-шифрования» . Наука . 381 (6664): 1270. doi : 10.1126/science.adk9443 . ПМИД 37733849 . S2CID 262084525 .
- ^ «Новый контроль кубитов служит хорошим предзнаменованием для будущего квантовых вычислений» . физ.орг .
- ^ «Криптографы бросают вызов квантовым компьютерам» . IEEE-спектр . 01 января 2009 г.
- ↑ Перейти обратно: Перейти обратно: а б «Вопросы и ответы с исследователем постквантовой криптографии Цзиньтаем Дином» . IEEE-спектр . 01.11.2008.
- ^ «Семинар ETSI по квантовой безопасной криптографии» . Семинар ETSI по квантовой безопасной криптографии . ЕТСИ. Октябрь 2014. Архивировано из оригинала 17 августа 2016 года . Проверено 24 февраля 2015 г.
- ^ Гассер, Лайнус (2023), Малдер, Валентин; Мермуд, Ален; Кредиторы, Винсент; Телленбах, Бернхард (ред.), «Постквантовая криптография», Тенденции в области защиты данных и технологий шифрования , Cham: Springer Nature Switzerland, стр. 47–52, doi : 10.1007/978-3-031-33386-6_10 , ISBN 978-3-031-33386-6
- ^ Таунсенд, Кевин (16 февраля 2022 г.). «Решение задачи квантового дешифрования «Собери сейчас, дешифруй позже»» . Неделя Безопасности . Проверено 9 апреля 2023 г.
- ^ «Квантово-безопасная безопасная связь» (PDF) . Национальная программа Великобритании по квантовым технологиям . Октябрь 2021 года . Проверено 9 апреля 2023 г.
- ^ Дэниел Дж. Бернштейн (17 мая 2009 г.). «Анализ затрат на коллизии хэшей: сделают ли квантовые компьютеры SHARCS устаревшими?» (PDF) .
- ^ Дэниел Дж. Бернштейн (3 марта 2010 г.). «Гровер против МакЭлиса» (PDF) .
- ^ Пейкерт, Крис (2014). «Решетчатая криптография для Интернета» (PDF) . МАКР. Архивировано из оригинала 12 мая 2014 года . Проверено 10 мая 2014 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ↑ Перейти обратно: Перейти обратно: а б с Гюнейсу, Тим; Любашевский Вадим; Пёппельманн, Томас (2012). «Практическая решетчатая криптография: схема подписи для встраиваемых систем» (PDF) . ИНРИА . Проверено 12 мая 2014 г.
- ^ Чжан, Цзян (2014). «Аутентифицированный обмен ключами из идеальных решеток» (PDF) . iacr.org . МАКР. Архивировано из оригинала 7 сентября 2014 года . Проверено 7 сентября 2014 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ↑ Перейти обратно: Перейти обратно: а б Дукас, Лео; Дурмус, Ален; Лепойнт, Танкред; Любашевский, Вадим (2013). «Решётчатые сигнатуры и бимодальные гауссианы» . Архив электронной печати по криптологии . Проверено 18 апреля 2015 г.
- ^ Любашевский Вадим; Пейкерт; Регев (2013). «Об идеальных решетках и обучении с ошибками в кольцах» (PDF) . МАКР. Архивировано из оригинала 31 января 2014 года . Проверено 14 мая 2013 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ↑ Перейти обратно: Перейти обратно: а б с д и ж г Ого, Даниэль (7 сентября 2015 г.). «Первоначальные рекомендации по созданию долгосрочных безопасных постквантовых систем» (PDF) . PQCRYPTO . Проверено 13 сентября 2015 г.
- ^ Стеле, Дэмиен; Стейнфельд, Рон (1 января 2013 г.). «Сделать NTRUEncrypt и NTRUSign такими же безопасными, как стандартные проблемы наихудшего случая в идеальных решетках» . Архив электронной печати по криптологии .
- ^ Исттом, Чак (01 февраля 2019 г.). «Анализ ведущих асимметричных криптографических примитивов на основе решеток». 9-й ежегодный семинар и конференция IEEE по вычислительной технике и связи (CCWC) , 2019 г. стр. 0811–0818. дои : 10.1109/CCWC.2019.8666459 . ISBN 978-1-7281-0554-3 . S2CID 77376310 .
- ^ Дин, Цзиньтай; Шмидт (7 июня 2005 г.). «Радуга, новая схема сигнатур многовариантного полинома». В Иоаннидисе, Джон (ред.). Прикладная криптография и сетевая безопасность . Конспекты лекций по информатике. Том. 3531. стр. 64–175. дои : 10.1007/11496137_12 . ISBN 978-3-540-26223-7 . S2CID 6571152 .
- ^ Бухманн, Йоханнес; Дамен, Эрик; Хюльсинг, Андреас (2011). «XMSS - практическая схема прямой безопасной подписи, основанная на минимальных предположениях о безопасности». Постквантовая криптография. PQCrypto 2011 . Конспекты лекций по информатике. Том. 7071. стр. 117–129. CiteSeerX 10.1.1.400.6086 . дои : 10.1007/978-3-642-25405-5_8 . ISSN 0302-9743 .
- ↑ Перейти обратно: Перейти обратно: а б Бернштейн, Дэниел Дж.; Хопвуд, Дайра; Хюльсинг, Андреас; Ланге, Таня ; Нидерхаген, Рубен; Папахристодулу, Луиза; Шнайдер, Майкл; Швабе, Питер; Уилкокс-О'Хирн, Зуко (2015). «SPHINCS: Практические подписи на основе хэша без сохранения состояния». В Освальде, Элизабет ; Фишлин, Марк (ред.). Достижения в криптологии -- EUROCRYPT 2015 . Конспекты лекций по информатике. Том 9056. Springer Berlin Heidelberg. стр. 368–397. CiteSeerX 10.1.1.690.6403 . дои : 10.1007/978-3-662-46800-5_15 . ISBN 9783662467992 .
- ^ Хюлсинг, А.; Бутин Д.; Газдаг, С.; Райневельд, Дж.; Мохайсен, А. (2018). «RFC 8391 – XMSS: расширенная схема подписи Меркла» . www.tools.ietf.org . дои : 10.17487/RFC8391 .
- ^ Наор, Мони; Юнг, Моти (1989), Универсальные односторонние хеш-функции и их криптографические приложения. STOC , стр. 33–43.
- ^ Овербек, Рафаэль; Сендрие (2009). «Кодовая криптография». Бернштейн, Дэниел (ред.). Постквантовая криптография . стр. 95–145. дои : 10.1007/978-3-540-88702-7_4 . ISBN 978-3-540-88701-0 .
- ^ Кастрик, Воутер; Ланге, Таня; Мартиндейл, Хлоя; Панни, Лоренц; Ренес, Йост (2018). «CSIDH: эффективное постквантовое коммутативное групповое действие» . В Пейрине, Томас; Гэлбрейт, Стивен (ред.). Достижения в криптологии – ASIACRYPT 2018 . Конспекты лекций по информатике. Том. 11274. Чам: Springer International Publishing. стр. 395–427. дои : 10.1007/978-3-030-03332-3_15 . hdl : 1854/LU-8619033 . ISBN 978-3-030-03332-3 . S2CID 44165584 .
- ^ Де Фео, Лука; Кохель, Дэвид; Леру, Антонен; Пети, Кристоф; Весоловский, Бенджамин (2020). «SQISign: компактные постквантовые сигнатуры кватернионов и изогений» (PDF) . В Мориаи, Сихо; Ван, Хуасюн (ред.). Достижения в криптологии – ASIACRYPT 2020 . Конспекты лекций по информатике. Том. 12491. Чам: Springer International Publishing. стр. 64–93. дои : 10.1007/978-3-030-64837-4_3 . ISBN 978-3-030-64837-4 . S2CID 222265162 .
- ^ Кастрик, Воутер; Декрю, Томас (2023), Хазай, Кармит; Стам, Мартейн (ред.), «Эффективная атака с восстановлением ключа на SIDH» , «Достижения в криптологии – EUROCRYPT 2023» , том. 14008, Cham: Springer Nature Switzerland, стр. 423–447, doi : 10.1007/978-3-031-30589-4_15 , ISBN 978-3-031-30588-7 , S2CID 258240788 , получено 21 июня 2023 г.
- ^ «SIKE уже сломан?» . Проверено 23 июня 2023 г.
- ^ Перлнер, Рэй; Купер (2009). Квантово-устойчивая криптография с открытым ключом: обзор . 8-й симпозиум по вопросам идентичности и доверия в Интернете (IDtrust 2009). НИСТ . Проверено 23 апреля 2015 г.
- ^ Кампанья, Мэтт; Харджоно; Пинцов; Романский; Ю (2013). «Возврат к квантово-безопасной аутентификации Kerberos» (PDF) . ЕТСИ.
- ^ Любашевский Вадим; Пейкерт; Регев (25 июня 2013 г.). «Об идеальных решетках и обучении с ошибками в кольцах» (PDF) . Спрингер . Проверено 19 июня 2014 г.
- ^ Аклейлек, Седат; Биндель, Нина; Бухманн, Йоханнес; Кремер, Джулиана; Марсон, Джорджия Адзурра (2016). «Эффективная схема подписи на основе решетки с доказуемо безопасным созданием экземпляра» . Архив электронной печати по криптологии .
- ^ Неджатоллахи, Хамид; Датт, Никил; Рэй, Сандип; Регаццони, Франческо; Банерджи, Индранил; Каммарота, Росарио (27 февраля 2019 г.). «Реализации постквантовой решетчатой криптографии: обзор» . Обзоры вычислительной техники ACM . 51 (6): 1–41. дои : 10.1145/3292548 . ISSN 0360-0300 . S2CID 59337649 .
- ^ Булыгин Станислав; Петцольдт; Бухманн (2010). «К доказуемой безопасности несбалансированной схемы подписи масла и уксуса при прямых атаках». Прогресс в криптологии – INDOCRYPT 2010 . Конспекты лекций по информатике. Том. 6498. стр. 17–32. CiteSeerX 10.1.1.294.3105 . дои : 10.1007/978-3-642-17401-8_3 . ISBN 978-3-642-17400-1 .
- ^ Перейра, Джеовандро; Пуодзиус, Кассий; Баррето, Пауло (2016). «Более короткие подписи на основе хеша». Журнал систем и программного обеспечения . 116 : 95–100. дои : 10.1016/j.jss.2015.07.007 .
- ^ Гарсия, Луис. «О безопасности и эффективности схемы подписи Меркла» (PDF) . Архив электронной печати по криптологии . МАКР . Проверено 19 июня 2013 г.
- ^ Блаум, Марио; Фаррелл; Тилборг (31 мая 2002 г.). Информация, кодирование и математика . Спрингер. ISBN 978-1-4757-3585-7 .
- ^ Ван, Юнге (2016). «Схема шифрования с открытым ключом на основе квантовостойкого случайного линейного кода RLCE». Труды по теории информации (ИСИТ) . IEEE ISIT: 2519–2523. arXiv : 1512.08454 . Бибкод : 2015arXiv151208454W .
- ^ Делфс, Кристина; Гэлбрейт (2013). «Вычисление изогений между суперсингулярными эллиптическими кривыми над F_p». arXiv : 1310.7789 [ math.NT ].
- ↑ Перейти обратно: Перейти обратно: а б Хиршборн, П; Хоффштейн; Хогрейв-Грэм; Уайт. «Выбор параметров NTRUEncrypt в свете комбинированного подхода к сокращению решеток и MITM» (PDF) . НТРУ. Архивировано из оригинала (PDF) 30 января 2013 года . Проверено 12 мая 2014 г.
- ↑ Перейти обратно: Перейти обратно: а б Петцольдт, Альбрехт; Булыгин; Бухманн (2010). «Выбор параметров для схемы радужной подписи - расширенная версия -» (PDF) . Архивировано из оригинала 4 марта 2016 года . Проверено 12 мая 2014 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ^ «SPHINCS+: Представление в постквантовом проекте NIST» (PDF) .
- ^ Чопра, Арджун (2017). «ГЛИФ: новая версия схемы цифровой подписи GLP» . Архив электронной печати по криптологии .
- ↑ Перейти обратно: Перейти обратно: а б Алким, Эрдем; Дукас, Лео; Поппельманн, Томас; Швабе, Питер (2015). «Постквантовый обмен ключами – новая надежда» (PDF) . Архив криптологии ePrint, отчет 2015/1092 . Проверено 1 сентября 2017 г.
- ^ Ван, Юнге (2017). «Пересмотренная квантово-устойчивая схема шифрования с открытым ключом RLCE и безопасность IND-CCA2 для схем McEliece» . Архив электронной печати по криптологии .
- ^ Мисочки, Р.; Тиллих, JP; Сендрие, Н.; Баррето, PSLM (2013). «MDPC-McEliece: Новые варианты McEliece из кодов проверки четности умеренной плотности». Международный симпозиум IEEE по теории информации , 2013 г. стр. 2069–2073. CiteSeerX 10.1.1.259.9109 . дои : 10.1109/ISIT.2013.6620590 . ISBN 978-1-4799-0446-4 . S2CID 9485532 .
- ^ Костелло, Крейг; Лонга, Патрик; Наэриг, Майкл (2016). «Эффективные алгоритмы для суперсингулярной изогении Диффи-Хеллмана» (PDF) . Достижения криптологии – CRYPTO 2016 . Конспекты лекций по информатике. Том. 9814. стр. 572–601. дои : 10.1007/978-3-662-53018-4_21 . ISBN 978-3-662-53017-7 .
- ↑ Перейти обратно: Перейти обратно: а б Костелло, Крейг; Джао; Лонга; Нериг; Ренес; Урбаник. «Эффективное сжатие открытых ключей SIDH» . Проверено 8 октября 2016 г.
- ^ Дин, Цзиньтай; Се, Сян; Линь, Сяодун (1 января 2012 г.). «Простая доказуемо безопасная схема обмена ключами, основанная на проблеме обучения с ошибками» . Архив электронной печати по криптологии .
- ^ Пейкерт, Крис (01 января 2014 г.). «Решетчатая криптография для Интернета» . Архив электронной печати по криптологии .
- ^ Сингх, Викрам (2015). «Практический обмен ключами в Интернете с использованием решетчатой криптографии» . Архив электронной печати по криптологии . Проверено 18 апреля 2015 г.
- ↑ Перейти обратно: Перейти обратно: а б Чжан, Цзян; Чжан, Чжэньфэн; Дин, Цзиньтай; Снук, Майкл; Дагделен, Озгюр (26 апреля 2015 г.). «Аутентифицированный обмен ключами из идеальных решеток». В Освальде, Элизабет; Фишлин, Марк (ред.). Достижения в криптологии – EUROCRYPT 2015 . Конспекты лекций по информатике. Том. 9057. Шпрингер Берлин Гейдельберг. стр. 719–751. CiteSeerX 10.1.1.649.1864 . дои : 10.1007/978-3-662-46803-6_24 . ISBN 978-3-662-46802-9 .
- ^ Кравчик, Хьюго (14 августа 2005 г.). «HMQV: Высокопроизводительный безопасный протокол Диффи-Хеллмана». В Шупе, Виктор (ред.). Достижения в криптологии – КРИПТО 2005 . Конспекты лекций по информатике. Том. 3621. Спрингер. стр. 546–566. дои : 10.1007/11535218_33 . ISBN 978-3-540-28114-6 .
- ^ Наор, Далит; Шенхав; Шерсть (2006). «Возвращение к одноразовым подписям: практические быстрые подписи с использованием фрактального обхода дерева Меркла» (PDF) . ИИЭЭ . Проверено 13 мая 2014 г.
- ^ Баррето, Пауло СЛМ; Биази, Фелипе Пьяцца; Дахаб, Рикардо; Лопес-Эрнандес, Хулио Сезар; Мораис, Эдуардо М. де; Оливейра, Ана Д. Салина де; Перейра, Геовандро CCF; Рикардини, Джефферсон Э. (2014). Коч, Четин Кая (ред.). Панорама постквантовой криптографии . Международное издательство Спрингер. стр. 387–439. дои : 10.1007/978-3-319-10683-0_16 . ISBN 978-3-319-10682-3 .
- ^ Де Фео, Лука; Джао; Плут (2011). «На пути к квантово-устойчивым криптосистемам на основе суперсингулярных изогений эллиптических кривых» (PDF) . Архивировано из оригинала 11 февраля 2014 года . Проверено 12 мая 2014 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ^ «Архив криптологии ePrint: отчет 2016/229» . eprint.iacr.org . Проверено 2 марта 2016 г.
- ^ Ристич, Иван (25 июня 2013 г.). «Развертывание прямой секретности» . SSL-лаборатории . Проверено 14 июня 2014 г.
- ^ «Обеспечивает ли NTRU идеальную прямую секретность?» . crypto.stackexchange.com .
- ↑ Перейти обратно: Перейти обратно: а б «Открытый квантовый сейф» . openquantumsafe.org .
- ^ Стебила, Дуглас; Моска, Мишель. «Постквантовый обмен ключами для Интернета и проект открытой квантовой безопасности» . Архив криптологии ePrint, отчет 2016/1017, 2016 г. Проверено 9 апреля 2017 г.
- ^ «liboqs: библиотека C для квантовоустойчивых криптографических алгоритмов» . 26 ноября 2017 г. – через GitHub.
- ^ «openssl: форк OpenSSL, включающий квантово-устойчивые алгоритмы и наборы шифров на основе liboqs» . 9 ноября 2017 г. – через GitHub.
- ^ «BIKE — инкапсуляция ключей с переворотом битов» . сайт Bikesuite.org . Проверено 21 августа 2023 г.
- ^ «ШКК» . pqc-hqc.org . Проверено 21 августа 2023 г.
- ^ «Быстрая и эффективная аппаратная реализация HQC» (PDF) .
- ^ Бос, Йоппе; Костелло, Крейг; Дукас, Лео; Миронов Илья; Наэриг, Майкл; Николаенко Валерия; Рагунатан, Анант; Стебила, Дуглас (01 января 2016 г.). «Фродо: Сними кольцо! Практичный квантово-безопасный обмен ключами от LWE» . Архив электронной печати по криптологии .
- ^ «ФродоКЭМ» . frodokem.org . Проверено 21 августа 2023 г.
- ^ «NTRUOpenSourceProject/NTRUEncrypt» . Гитхаб . Проверено 10 апреля 2017 г.
- ^ Швабе, Питер. «Дилитиум» . pq-crystals.org . Проверено 19 августа 2023 г.
- ^ «Криптографический набор для алгебраических решеток, цифровая подпись: дилитий» (PDF) .
- ^ Стебила, Дуглас (26 марта 2018 г.). «Описание алгоритма liboqs nist-branch: kem_newhopenist» . Гитхаб . Проверено 27 сентября 2018 г.
- ^ «Библиотека решетчатой криптографии» . Исследования Майкрософт . 19 апреля 2016 г. Проверено 27 сентября 2018 г.
- ^ «Библиотека SIDH — исследования Microsoft» . Исследования Майкрософт . Проверено 10 апреля 2017 г.
- ^ Фео, Лука Де; Джао, Дэвид; Плю, Жером (01 января 2011 г.). «К квантовоустойчивым криптосистемам на основе суперсингулярных изогений эллиптических кривых» . Архив электронной печати по криптологии . PQCrypto 2011. Архивировано из оригинала 3 мая 2014 г.
- ^ Бернштейн, Дэниел Дж.; Чжоу, Дун; Швабе, Питер (01 января 2015 г.). «McBits: быстрая криптография на основе кода с постоянным временем» . Архив электронной печати по криптологии .
- ^ «Майкрософт/Пикник» (PDF) . Гитхаб . Проверено 27 июня 2018 г.
- ^ «На пути к квантовым устойчивым ключам безопасности» . Блог Google по онлайн-безопасности . Проверено 19 августа 2023 г.
- ↑ Перейти обратно: Перейти обратно: а б Apple Security Engineering and Architecture (SEAR) (21 февраля 2024 г.). «iMessage с PQ3: новый уровень квантово-безопасной передачи сообщений в больших масштабах» . Исследование безопасности Apple . Apple Inc. Проверено 22 февраля 2024 г.
Благодаря устойчивому к компрометации шифрованию и обширной защите даже от самых сложных квантовых атак PQ3 является первым протоколом обмена сообщениями, достигшим того, что мы называем безопасностью уровня 3, обеспечивая защиту протокола, превосходящую защиту во всех других широко используемых приложениях для обмена сообщениями.
- ^ Россиньуа, Джо (21 февраля 2024 г.). «Apple объявляет о «революционном» новом протоколе безопасности для iMessage» . МакСлухи . Проверено 22 февраля 2024 г.
- ^ Потук, Майкл (21 февраля 2024 г.). «Apple запускает защиту квантового компьютера для iMessage с iOS 17.4, вот что это значит» . 9to5Mac . Проверено 22 февраля 2024 г.
- ^ «Бета-версия надувного замка» .
- ^ «Открытый квантовый сейф» .
Дальнейшее чтение [ править ]
- Постквантовая криптография . Спрингер. 2008. с. 245. ИСБН 978-3-540-88701-0 .
- Изогении в квантовом мире. Архивировано 2 мая 2014 г. в Wayback Machine.
- Об идеальных решетках и обучении с ошибками по кольцам
- Возвращение к Kerberos: квантовобезопасная аутентификация
- Схема подписи на пикнике